Время 13:13 Дата 25.10.2012
Google, Microsoft и Yahoo устранили серьезную уязвимость
Операторы популярных почтовых систем Google, Microsoft и Yahoo одновременно устранили уязвимости в их серверном программном обеспечении, которые позволяли обходить алгоритмы безопасной верификации
Это позволяло потенциальным атакующим эксплуатировать слабый элемент криптосистемы и создавать поддельные сообщения.
Уязвимость затрагивает DKIM или DomainKeys Identified Mail, которая кроме Google, Yahoo и Microsoft используется многими другими почтовыми серверами. DKIM создает криптографическую оболочку письма, которая верифицирует домен, через который проходит письмо, что позволяет отбрасывать письма с поддельными адресами (спам) и пропускать легитимные сообщения.
Проблема была связана с ключами подписи длиной менее 1024 бит. Подделать подобные ключи можно было на обычном компьютере. В US-Cert говорят, что сами смогли воссоздать 1024- и 768-битные RSA-ключи для подписи. Эксперты говорят, что в данном плане хуже всего ситуация обстояла в системе Google, которая использовала 512-битные ключи. Независимые специалисты говорят, что они смогли создать поддельные письма якобы от лица Ларри Пейджа и Сергея Брина и пропустить их через DKIM, применяемую в Google Gmail.
Разработчики говорят, что система подделки DKIM-ключей представляет собой серьезную инфраструктурную проблему, из-за которой скомпрометированы могут быть многие почтовые системы. В процессе дальнейших исследований было установлено, что подобными способами можно обойти DKIM в почтовых системах PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com и HSBC.
На практике, данная система позволяет подделывать флаг отправителя и проводить мошеннические целевые атаки на корпоративных пользователей, считающих, что их почтовая система защищена
